信息系统舞弊行为分析及审计策略
屈 哲(江苏省徐州市审计局副局长、中国管理科学研究院特邀研究员)
【发布时间:2009年03月27日】
字号:【大】 【中】 【小】
    
    当今,随着信息化技术的高速发展,不仅被审计单位会计实现了电算化管理,而且计划、采购、销售、保管、绩效管理等业务环节也都实现了信息化管理方式。信息系统改变了内部控制,即内控重点、方式和范围有所变化;信息系统使传统的审计内容发生了改变,增加系统控制是否合规、系统数据是否真实完整、系统开发是否存在缺陷、应用程序是否存在问题等。正是如此,信息系统使审计线索发生根本性变化。
    在这种情况下,国家审计则不可避免地受到信息技术迅猛发展所带来的冲击与挑战。如针对社会普遍反映“看病难、看病贵”,医疗费用大幅度攀升,卫生资源利用率低下、医疗服务显失公平等问题。传统的审计方法已无力应对,为了规避审计风险,确保审计质量,审计要及时“跟进”,只有对整个系统进行全面了解,才能把握审计对象的总体情况,才能实现审计成果最大化,确保“民生”和谐而实惠。因此,探索信息系统审计已成为当前重要的课题。
    信息系统舞弊行为分析
        信息系统舞弊是指信息系统或行为人利用信息系统为达到获取不当利益,或者其他不当愿望的目的,以不合规方法并采取各种隐蔽的非合法手段,去掩盖事实的行为。
    信息系统舞弊的主体。信息系统舞弊主体是指舞弊行为的载体,一般分为系统和人。体现在可能是系统设计客观或主观存在漏洞,也可能是人的主观或者客观行为因素导致;有时信息系统舞弊并非单一主体行为构成,或者系统因素加人的客观行为所致,或者是系统因素加人的主观行为因素所致,或者是系统因素加人的主、客观行为因素所致。
    信息系统舞弊的动机。分为有动机舞弊和无动机舞弊。有动机舞弊是指系统设计时按照业主需要在设计流程上存在主观缺陷或漏洞,或者行为人利用系统进行舞弊,人为舞弊往往是舞弊人的精心设计;无动机舞弊一般发生在系统自身不完善所致。
    信息系统舞弊的类型。已突破传统单一的舞弊类型,可分为业务管理舞弊行为、财务管理舞弊行为、信息系统管理舞弊行为;也可能是三种舞弊行为的交叉。
    信息系统舞弊的内容。它是舞弊类型的具体细化。1.业务方面的舞弊内容。如医疗信息系统舞弊内容常见有药品及诊疗收费项目、收费标准、收费数量三个方面。具体为系统是否存在药品超规定加价、药品多计数量,诊疗项目超收费用、多计次数,诊疗项目超规定加收、捆绑收费、肢解收费项目、重复收费、自立项目收费、应取消未取消收费、应降未降标准收费、无依据收费,医药回扣、任意减免收费等;
    2.内部控制标准及管理方面舞弊行为。如系统是否存在内控漏洞和缺陷,指标是否健全,有无非法和错误处理及薄弱环节等;系统安全、可靠、合法性方面,如有无设计缺陷、程序错误,用户操作造成经济损失,灾难性恢复,有无业务数据外泄、破坏、非法修改、非法入侵及抗灾能力;
    3.资产管理及财务核算方面舞弊行为。如有无帐外资产、材料报损账实不符、收入不实以等;
    4.绩效管理方面舞弊行为。如资源是否存在浪费、管理运营费用如何等内容。
    信息系统舞弊的原因。宏观体制层面上,存在粗框、滞后、政策约束性不强等;法规层面上,存在宽泛、不具体,配套措施不及时等;地方制度层面上,存在缺少细化措施,考核机制不完善,道德教育机制有待加强等;另外,主客体之间存在信息不对称性现象。
    信息系统舞弊的审计策略
    审前精心准备。首先,审计机关要树立好信息系统审计观念,适时做好信息系统审计的学习、培训等工作;其次,需要被审计单位做好的配合工作。如准备提供系统开发说明书、操作指南、数据字典、信息管理规章制度、保密措施等文档资料,作为审计依据的部分构成要件;三是做好审前调查。审计人员要重点了解系统管理模块结构与流程,了解被审计单位业务、系统、环境等,识别并评估风险,检查是否存在足够的控制来补偿这些风险,以此确定审计目标、重点内容、审计范围等。要搜集所有与信息系统相关的纸质及电子资料,下载业务与财务数据。制定的审计实施方案尽可能翔实、便于操作;要选配精简、高效的审计组成员,能够合理搭配做好组织保障。根据审前调查结果,审计人员还要绘制系统业务流程图,初步对系统在业务与财务管理的双套电子数据进行双向交互分析。
    构建审计模型。审计人员通过分析业务流程及数据特征,进一步了解审计数据管理存在舞弊的状况。首先对独立的审计方法进行分析研究,使每个审计方法要素对应信息系统舞弊审计相关问题;其次,审计人员设计计算公式或编写SQL语句,配合相关法律政策,创建审计数据中间表;再之,对信息系统的特征和行为进行分类描述,把系统静态特征及动态行为表示为一个对象并对应为相关类别的一个审计模型,组成审计模型群(库)。如我们在医院业务流程图基础上,绘制审计模型图(见下图),完成审计模型的构建。把审计模型分配给审计组成员,以便实施审计时实现审计模型共享,可以提高审计效率和质量,有效降低审计风险。
    审计实施方法。在信息系统审计实施阶段,审计人员所开展的工作大概分为三个层次,即描述、测试和实证分析(即数据审计)。通过详细分析,能够发现传统审计方式下无法查到的重大问题。
    1.信息系统舞弊审计采取的方法既包括一般方法,也包括应用计算机审计的方法。信息系统审计的一般方法主要用于对信息系统的了解和描述,它包括:面谈法、文档审阅法、文字描述法、表格描述法、图形描述法等。应用计算机方法一般用于对信息系统的控制测试和实证分析,它包括:数据测试法、程序审计、审计模块、代码比较、受控处理法等。
    充分利用技术分析方法。借助内控测试和数据审计对选定的信息系统进行分析,将被审计单位业务数据与财务数据进行关联,排查信息系统存在的漏洞或缺陷,作出风险评价。利用技术分析方法能迅速找出信息系统存在的瑕疵,尤其是借助信息系统人为进行舞弊的线索。
    2.信息系统舞弊审计关注的重点环节。(1)数据。必须使用一种能够向前、向后追踪查询单笔业务记录的方法,以便使审计人员选择重点对其进行详细检查,确认业务记录是否符合一般审计目标。如对医院会计事项信息的检查,要检查它的完整性、时效性、合规性和信息披露等方面。对信息的分析可以采用AO辅助审计,按照(如医院)审计模型和(如医疗)法规标准对数据进行汇总、分类、排序、比较和选择,并进行各种运算。(2)内部控制。主要是对(如医院)信息系统的一般控制和应用控制等两个方面的审计。一般控制审计包括组织管理的控制、数据资源管理的控制、系统环境安全管理的控制和系统运行管理控制等审计;应用控制审计它包括输入控制、处理控制、数据库控制等审计。(3)数据传输转移。有些数据需要在财务信息系统和收费系统模块或财务信息系统与业务信息系统模块之间相互转移,传递过程中很可能存在舞弊行为。因此,数据传输转移环节也是审计重点。
    3.构建信息系统绩效的综合评价机制。一般信息系统审计很少对系统操作生命周期中管理收益的关注,目前尚未从绩效的角度来评价信息系统。构建信息系统绩效的综合评价机制,也是分析信息系统舞弊行为审计对策之一。
    指标体系建立从以下两方面考虑。法规层面指标体系,目前如对医疗机构主要是依据卫生部颁发的《医疗机构信息系统基本功能规范》相关指标;业务层面指标体系,主要是依据被审计单位历史情况、管理职能、医院业务特点等选取相关指标。评价指标具有综合性,语言要平实,用词要公允。
    信息系统舞弊审计案例实证
    基本情况。2008年5月,徐州市审计局对XX医院信息系统及财务收支进行了审计。该医院所使用的信息系统由北京XX科技有限公司提供,后台数据库为SQL-Server2000,业务流程涉及五大类收费项目计3966项,年采购药品达4880种。审计共采集业务数据及财务备份数据账套2套,年业务数据记录量达400多万条,总量约4.8GB,信息存放表单150多张。
    审计结果。根据上述分析方法,充分利用AO系统,查出上年度一系列收费、加价等违规违纪及绩效管理方面的问题,查出信息系统违纪违规金额达2200多万元,主要问题如下:药品超规定加价602.71万元;恶意刷卡支付自费项目当年达930.95万元,增加了财政负担;存在重复收取项目费用41.90万元;超标准收费138.80万元;自立项目收费12.54;商业贿赂--药品回扣13.76万元;账面收入调剂348.94元;不具备处方权医生擅自给病人开药达151.09万元等。
    审计成效。案例项目审计建议6条被审计单位基本采纳予以整改,针对软件存在的控制功能等缺陷进行更新设计,清理停止收费项目,降低相关收费标准,补充新收费条目,完善系统收费编码;对功能、内控、作用等进行增修补;从设计程序、源头代码上,堵塞系统数据不真实或不准确及系统操作舞弊行为。更新设计后,促使信息系统的可靠性增强、安全性提高、效率性提升;促使该院出台了《信息系统管理办法》、《XX医院内部控制制度(试行)》等文件。
    当年,根据审计项目编写的《运用AO对医疗信息系统舞弊的审计》荣获2008年度审计署AO应用实例最高奖--优秀奖。


【关闭】    【打印】